Uçtan-uca bir güvenlik izleme laboratuvarının kurulması (DevOps+Security = Profit!)

0
314
views

 

Defans alanında çalışmalar yürüten güvenlik araştırmacılarının önündeki en büyük engellerden birisi test için kurulan sistemlerinin kurulumu ve konfigürasyondaki zorluklardır. Bu kurulumların kimisi tekrar tekrar yapılması gerektiği için bazen bu işlemler içinden çıkılmaz bir hal alır. Bu yazıda uçtan-uca bir güvenlik izleme laboratuvarının kurulacaktır.

Test için kurulan sistemlerinin kurulumu ve konfigürasyondaki zorlukları en aza indirmek için Chris Long tarafından Detection Lab isimli bir proje hazırlanmıştır.

https://github.com/clong/DetectionLab

 

İlgili proje, tamamen otomatik olarak, biri Linux tabanlı loglama makinesi, diğer üçü yine betik (script) ile kurulan bir Windows Etki Alanı’na (Domain) ait olmak üzere toplamda 4 adet makine kurulumu ve birbirleriyle entegrasyonunu yapıyor. Bu Windows makinelerden birisi DC, diğer bir tanesi WEF (Windows Event Forwarder) ve kalan bir tanesi ise yine aynı etki alanına dahil bir Windows 10 istemci (client/kurban) makinesi olarak görev alıyor. Domain policy ile Sysmon ve PS dahil pek çok loglama konfigürasyonunu da kendisi yaparak WEF üzerinden Splunk Forwarder ile logger makinesine logların iletilmesini sağlıyor. Ve yine osquery ile EDR fonksiyonelitesi sağlanırken bir yandan da Caldera ile Windows ortamlarda saldırı simülasyonu yapmanızı (ve logları Splunk’ta görmenizi) sağlıyor.

 

Bileşenler

Özetle aşağıdaki sistemleri ve bileşenleri Vagrant ve Packer ile otomatik kurup konfigüre ediyor sistem.

  • DC – Windows 2016 Domain Controller (DC sunucu)
    • WEF Server Configuration GPO
    • Powershell logging GPO
    • Enhanced Windows Auditing policy GPO
    • Sysmon
    • osquery
    • Splunk Universal Forwarder (Sysmon & osquery loglarını iletir)
    • Sysinternals araçları
  • WEF – Windows 2016 Server (Windows event forwarder snucusu)
    • Windows Event Collector
    • Windows Event Subscription Creation
    • Powershell transcription loglama paylaşımı
    • Sysmon
    • osquery
    • Splunk Universal Forwarder (WinEventLog & Powershell & Sysmon & osquery loglarını ileten bileşen)
    • Sysinternals araçları
  • Win10 – Windows 10 Workstation (Kurban PC)
    • Sysmon
    • osquery
    • Splunk Universal Forwarder (Sysmon & osquery loglarını iletir)
    • Sysinternals araçları
  • Logger – Ubuntu 16.04
    • Splunk Enterprise (Loglama uygulaması)
    • Fleet osquery Manager (EDR uygulaması)
    • Mitre’s Caldera Server (ATT&CK testleri için)

 

Kurulum

Kurulum için host makinenizde en az 16GB RAM, 55 GB boş HDD alanı gerekmektedir. Yine işlemcinizin sanallaştırma desteklemesi gerekmektedir.

Öncelikle kurulum yapacağınız ortama göre Vagrant ve Packer uygulamalarını kurmanız gerekiyor.

NOT: Windows 10 host’a -sanallaştırma platformu olarak Virtualbox kullanılarak kurulum yapılacaktır.

  • Packer için: https://www.packer.io/downloads.html (Ben v1.1.3 kullandım)
  • Vagrant için: https://www.vagrantup.com/docs/installation/ (Ben v2.0.1 kullandım)
  • Virtualbox: http://www.virtualbox.org

İlgili uygulamalar kurulduktan sonra yapılması gereken;

Öncelikle https://github.com/clong/DetectionLab adresinden zip’li olarak dosyaları indirerek dizinimize açıyoruz. İlgili dizinde komut satırı açarak;

cd detectionlab/Packer

packer.exe build –only=virtualbox-iso windows_10.json

packer.exe build –only=virtualbox-iso windows_2016.json

komutlarını sırasıyla çalıştırdıktan sonra oluşan .box uzantılı windows2016 ve windows10 dosyalarını ../Boxes dizinine taşıyoruz.

Sonrasında ../Vagrant klasörüne giderek;

vagrant.exe plugin install vagrant-reload

ve

vagrant.exe up

komutlarını çalıştırıyuruz.

Bu işlemle -bağlantı hızınıza göre değişkenlik gösterebilmekle beraber- yaklaşık 2 saati bulan bir kurulum süreci başlayacaktır.

Bu işlem tamamlandığında alttaki gibi 4 adet makine kurulumu gerçekleştirilecektir.

 

 

Kullanım/Arayüzler

 

Splunk Arayüzü

 

Splunk Sysmon Logları

 

 

Splunk Autoruns Logları

 

Splunk index isimleri;

  • osquery
  • osquery-status
  • powershell
  • sysmon
  • wineventlog

 

osquery/Fleet Arayüzü

 

Örnek osquery Sorgusu

 

Caldera Test Ortamı Arayüzü

 

Sanal makineleri beklemeye almak için;

vagrant.exe suspend

yeniden başlatmak için

vagrant.exe resume

komutlarını kullanabilirsiniz

 

Sistemlere ait erişim bilgileri

  • Domain Name: windomain.local
  • Admininstrator login: vagrant:vagrant
  • Fleet login: https://192.168.38.5:8412 – admin:admin123#
  • Splunk login: https://192.168.38.5:8000 – admin:changeme
  • Caldera login: https://192.168.38.5:8888 – admin:caldera

 

Kaynak:

https://www.furkancaliskan.com/detection-lab/
https://medium.com/@clong/introducing-detection-lab-61db34bed6ae

 

 

 

 

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz